无线生物特征识别认证系统和方法与流程

本申请是2015年10月26日提交的美国临时申请号62/246,476(代理人案号：079900-0961921-1549us01)的正式申请并要求其优先权，该申请出于所有目的全文以引用方式并入本文中。

背景技术：

使用生物特征识别作为认证个体的手段可以提供各种优点。在通过生物特征识别手段控制对资源的访问的系统中，个体可以向系统的访问装置呈现生物特征识别数据以用于身份认证，该生物特征识别数据来源于个体固有的一个或多个身体特性(例如，脸部照片、视网膜扫描、指纹、声纹等)。因此，个体不需要记住密码、提供安全问题的答案或保存物理安全令牌。

然而，现有的基于生物特征识别的认证系统并非没有问题。例如，这样的系统使用起来可能缓慢或麻烦。在一个特定的系统中，为了方便资源提供商(例如贸易展览会组织者)处的未来认证，个体(例如贸易展览会的参与者)可以向资源提供商注册个人智能手机，并向资源提供商提供个体的脸部照片。当个体稍后请求访问资源(例如进入贸易展览会)时，访问装置将检测个体的智能手机并检索包括个体照片的一组照片。然而，访问装置仍需要人工输入(例如，保安人员的输入)才能将智能手机与个体的照片匹配，然后才能授权对个体个访问。

此外，生物特征识别数据还可能容易被各种不良行为者盗用和滥用。例如，尽管绝大多数访问装置可能是可靠的，但有可能会遇到已被黑客攻击或以其他方式泄密的访问装置。因此，当个体提出访问资源的请求时，该恶意访问装置可能会窃取个体的生物特征识别数据。此外，对于涉及生物特征识别数据的无线传输的认证系统，碰巧在传输附近的在场的人可能能够窃取生物特征识别数据。

本发明的实施方案个别地和共同地解决了这些问题和其他问题。

技术实现要素：

本发明的实施方案涉及使用生物特征识别模板来经由无线通信技术安全地认证个体。

例如，第一移动装置可以从该第一移动装置的第一用户获得第一生物特征识别样本，并从该第一生物特征识别样本生成第一大生物特征识别模板和第一小生物特征识别模板。第一移动装置然后可以通过将第一小生物特征识别模板传递给模糊提取器的生成功能来生成第一公共值和第一密码密钥。在当第一用户位于与资源提供商相关联的位置(即，资源提供商位置)处的某个时刻，第一移动装置可以检测到与资源提供商相关联的访问装置。作为响应，第一移动装置可以将第一公共值传送给访问装置。因此，如果在资源提供商位置处有其他用户，则访问装置可以从他们中每个体的移动装置接收由该移动装置基于该移动装置的用户的生物特征识别样本生成的公共值。

当访问装置对第一用户进行认证时，访问装置可以获得第二生物特征识别样本，并从第二生物特征识别样本生成第二大生物特征识别模板和第二小生物特征识别模板。在多个移动装置位于访问装置附近范围内的情况下，访问装置可以尝试确定哪个移动装置是与第一用户相关联的那个移动装置(其将是第一移动装置)。

因此，访问装置可以检测位于访问装置附近范围内的多个移动装置，其中所述多个装置包括第一移动装置。对于邻近的移动装置中的每一个，访问装置可以执行以下步骤：访问装置可以检索与移动装置相关联的公共值；通过将第二小生物特征识别模板和公开值传递给模糊提取器的再现功能来生成秘密密码密钥；用秘密密码密钥对第二大生物特征识别模板进行加密；以及将经加密的第二大生物特征识别模板广播给多个移动装置。因此，每当访问装置广播第二大生物特征识别模板时，都可以用不同的秘密密码密钥来对模板进行加密。

对于每次广播，接收广播的每个移动装置都可以尝试使用已生成并存储在移动装置上的秘密密码密钥来解密经加密的第二大生物特征识别模板。然而，只有在访问装置在执行该特定广播之前，使用访问装置使用从移动装置接收到的公共值生成的秘密密码密钥对第二大生物特征识别模板进行加密的情况下，移动装置才能成功地进行解密尝试。

例如，当第一移动装置接收到经加密的第二大生物特征识别模板的广播时，第一移动装置可以尝试使用第一密码密钥来对模板进行解密。然而，只有当针对该特定广播的加密使用通过使用第一公共值而生成的秘密密码密钥时，解密尝试才会成功。如果加密使用了使用不同的公共值(其是由不同移动装置从不同用户的生物特征识别样本生成的)生成的秘密密码密钥，则解密尝试将会失败。

如果解密尝试成功，则第一移动装置可以确定第二大生物特征识别模板是否匹配存储在第一移动装置上的第一大生物特征识别模板。如果匹配，则第一移动装置可以向访问装置发送匹配的确认。由于访问装置已经确定第一移动装置与第一用户相关联，因此访问装置可以授权第一用户访问资源。

其他实施方案涉及与本文中描述的方法关联的系统、便携式消费者装置和计算机可读介质。

参照以下详细描述和附图，可以获得对本发明的实施方案的本质和优点的更好理解。

附图说明

图1描绘了根据一些实施方案的用于在资源提供商位置处检测移动装置的系统。

图2描绘了根据一些实施方案的用于使用无线生物特征识别认证来控制对资源的访问的系统。

图3描绘了根据一些实施方案的用于使用无线生物特征识别认证来控制对资源的访问的另一示例性系统。

图4示出了说明根据一些实施方案的使用公钥加密的无线生物特征识别认证过程的流程图。

图5-8分别示出了说明根据一些实施方案的使用模糊提取器的概念的图。

图9示出了说明根据一些实施方案的使用模糊提取器的概念的无线生物特征识别认证过程的流程图。

图10示出了根据一些实施方案的便携式通信装置的框图。

具体实施方式

本发明的实施方案涉及使用生物特征识别模板来经由无线通信技术安全地认证个体。一些实施方案可以允许仅通过捕获生物特征识别来使用户针对访问装置进行自我认证，从而获得对资源的访问。用户不需要拿出其电话，并且可以降低用户生物特征识别被泄露的风险的方式对用户生物特征识别进行验证。

例如，第一移动装置(即，便携式通信装置)可以从第一移动装置的第一用户获得第一生物特征识别样本(例如，拍摄第一用户的脸部的第一张照片)，并从第一生物特征识别样本生成第一大生物特征识别模板和第一小生物特征识别模板。第一移动装置然后可以通过将第一小生物特征识别模板传递给模糊提取器的生成功能来生成第一公共值和第一密码密钥。在当第一用户位于与资源提供商相关联的位置(即，资源提供商位置)处的某个时刻，第一移动装置可以检测到与资源提供商相关联的访问装置(例如，经由通过广播装置或代表广播装置进行广播的信标)。作为响应，第一移动装置可以将第一公共值传送给访问装置。因此，如果在资源提供商位置处有其他用户，则访问装置可以从他们中每个体的移动装置接收由该移动装置基于该移动装置的用户的生物特征识别样本生成的公共值。

当访问装置对第一用户进行认证时，访问装置可以获得第二生物特征识别样本(例如，拍摄第一用户的脸部第二张照片)，并从第二生物特征识别样本生成第二大生物特征识别模板和第二小生物特征识别模板。在多个移动装置位于访问装置附近范围内的情况下，访问装置可以尝试确定哪个移动装置是与第一用户相关联的那个移动装置(其将是第一移动装置)。

因此，访问装置可以检测位于访问装置附近范围内的多个移动装置，其中所述多个装置包括第一移动装置。对于邻近的移动装置中的每一个，访问装置可以执行以下步骤：访问装置可以检索与移动装置相关联的公共值；通过将第二小生物特征识别模板和公开值传递给模糊提取器的再现功能来生成秘密密码密钥；用秘密密码密钥对第二大生物特征识别模板进行加密；以及将经加密的第二大生物特征识别模板广播给多个移动装置。因此，每当访问装置广播第二大生物特征识别模板时，都可以用不同的秘密密码密钥来对模板进行加密。

第二大生物特征识别模板被广播的次数可以与认证时附近的移动装置的数量一样多。对于每次广播，接收广播的每个移动装置都可以尝试使用已生成并存储在移动装置上的秘密密码密钥来解密经加密的第二大生物特征识别模板。然而，只有在访问装置在执行该特定广播之前，使用访问装置使用从移动装置接收到的公共值生成的秘密密码密钥对第二大生物特征识别模板进行加密的情况下，移动装置才能成功地进行解密尝试。

例如，当第一移动装置接收到经加密的第二大生物特征识别模板的广播时，第一移动装置可以尝试使用第一密码密钥来对模板进行解密。然而，只有当针对该特定广播的加密使用通过使用第一公共值而生成的秘密密码密钥时，解密尝试才会成功。如果加密使用了使用不同的公共值(其是由不同移动装置从不同用户的生物特征识别样本生成的)生成的秘密密码密钥，则解密尝试将会失败(例如产生垃圾)。

如果解密尝试成功，则第一移动装置可以确定第二大生物特征识别模板是否匹配存储在第一移动装置上的第一大生物特征识别模板(例如，第一照片和第二照片是否显示第一用户的脸部)。如果匹配，则第一移动装置可以向访问装置发送匹配的确认。由于访问装置已经确定第一移动装置与第一用户相关联，因此访问装置可以授权第一用户访问资源。

在一些实施方案中，移动装置在进入资源提供商位置时可以检测包含由发射站向移动装置发送的发射站标识符的信标。在接收到发射站标识符后，移动装置可以将发射站标识符发送给外部服务计算机，并且作为响应，接收与资源提供商相关联的资源提供商标识符。在接收到资源提供商标识符时，移动装置可以将移动装置的用户的标识符(即，用户标识符)、在移动装置上生成的公共值以及资源提供商标识符发送给发射站。

本发明的一些实施方案可涉及具有智能手机(即，移动装置)的顾客(即，用户)在实体商店(即，资源提供商位置)购物的ble(蓝牙低能耗)使用情况。在这里，脸部识别(或通过使用其他生物特征识别的识别)可帮助辨别在出纳机(即，访问装置)处或附近的顾客，而顾客不必执行任何明确的动作。

在讨论另外的具体实施方案和实例之前，以下提供本文使用的术语的一些描述。

如本文所使用的，“访问装置”可以是可以用于访问外部系统的任何合适的装置。例如，访问装置可以用于与商家计算机或支付处理网络进行通信并且用于与支付装置、用户计算机装置和/或用户移动装置进行交互。访问装置通常可以位于任何合适的位置，诸如在商家的位置。访问装置可以是任何合适的形式。访问装置的一些实例包括pos装置、蜂窝电话、pda、个体计算机(pc)、平板电脑、手持专用读取器、机顶盒、电子现金出纳机(ecr)、自动取款机(atm)、虚拟现金出纳机(vcr)、营业亭、安全系统、访问系统、网站等。访问装置可以使用任何合适的接触或非接触式操作模式来从支付装置和/或用户移动装置发送或接收数据，或者与支付装置和/或与用户移动装置相关联。在访问装置可以包括pos终端的一些实施方案中，任何适当的pos终端可以被使用，并且其可以包括阅读器、处理器和计算机可读介质。读取器可以包括任何适当的接触或非接触操作模式。例如，示例性读卡器可以包括射频(rf)天线、光学扫描器、条形码读取器或磁条读取器，以与支付装置和/或移动装置交互。访问装置还可以具有能够读取本文或其他所描述的任何生物特征识别样本的生物特征识别读取器。

“授权请求消息”可以是被发送来请求授权动作的电子消息。在一些实施方案中，“授权请求消息”可以是被发送给支付处理网络和/或支付卡的发行方以请求交易授权的消息。根据一些实施方案的授权请求消息可以符合iso8583，其是用于交换与由消费者使用支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可以包括可以与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可以包括对应于“标识信息”的附加数据元素，包括(只作为实例)：服务代码、cvv(卡验证值)、dcvv(动态卡验证值)、有效日期等。授权请求消息还可以包括“交易信息”，例如与当前交易相关联的任何信息，诸如交易金额、商家标识符、商家位置等，以及可以用于确定是否标识和/或授权交易的任何其他信息。

“授权响应消息”可以是对授权请求消息的电子消息回复。它可以由发行金融机构或支付处理网络生成。授权响应消息可以包括(只作为实例)以下状态指示符中的一个或多个：批准-交易被批准；拒绝-交易不被批准；或呼叫中心-响应未决的更多信息，商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码，其可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或者通过支付处理网络)返回商家的访问装置(例如pos装置)的指示交易被批准的代码。代码可以用作授权的证据。如上所述，在一些实施方案中，支付处理网络可以向商家生成或转发授权响应消息。

如本文所使用的，“电子钱包”或“数字钱包”能够存储用户资料信息、支付信息、银行账户信息等等，并且可以用在各种交易中，这些交易诸如但不限于电子商务、社交网络、转账/个体支付、移动商务、近距离支付、博彩等等，用于零售购买、数字商品购买、公用事业支付、从博彩网站购买游戏或博彩点券、用户间转移资金等等。

如本文所使用的，“移动装置”(有时称为“移动通信装置”)可以包括用户可以运输或操作的任何合适的电子装置，该装置还可以提供与网络的远程通信能力。远程通信能力的实例包括使用移动电话(无线)网络、无线数据网络(，例如3g、4g或类似网络)、wi-fi、蓝牙、蓝牙低能耗(ble)、wi-max或可以提供诸如因特网或专用网络之类的网络访问的任何其他通信介质。移动装置的实例包括移动电话(例如，蜂窝电话)、pda、平板计算机、上网本、膝上型计算机、可穿戴装置(例如手表)、车辆(例如，汽车、摩托车)、个人音乐播放器、手持式专用阅读器、等等。移动装置可以包括用于执行此类功能的任何合适的硬件和软件，并且还可以包括多个装置或组件(例如，当装置通过系固到另一个装置而远程访问网络时，即，使用其他装置作为调制解调器，一起使用的两个装置可以被认为是单个移动装置)。移动装置还可以包括验证令牌，其形式例如是移动装置内的安全硬件或软件组件和/或可以耦合到移动装置的一个或多个外部组件。下面提供了移动装置的详细描述。

如本文所使用的，“支付账户”(其可以与一个或多个支付装置相关联)可以是指任何合适的支付账户，包括信用卡账户、支票账户或预付账户。

如本文所使用的，“支付装置”可以指可以用来进行金融交易诸如向商家提供支付信息的任何装置。支付装置可以是任何适当形式。例如，适当的支付装置可以是手持式且紧凑的，使得它们能够放到消费者的钱包和/或口袋中(例如口袋大小的)，并可以是如上文所描述的移动装置的形式。它们可以包括智能卡、磁条卡、钥匙链装置(诸如可从exxon-mobil公司购买的speedpass^tm)等。支付装置的其他实例包括蜂窝电话、个人数字助理(pda)、寻呼机、支付卡、安全卡、访问卡、智能介质、应答器、二维条码、电子或数字钱包等等。这样的装置可以以接触或非接触模式操作。

如本文所使用的，“服务器计算机”通常是功能强大的计算机或计算机集群。例如，服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个实例中，服务器计算机可以是耦合到网络服务器的数据库服务器。

“生物特征识别数据”包括可用于基于一种或多种固有生理或行为特征来唯一地标识个体的数据。例如，生物特征识别数据可以包括指纹数据和视网膜扫描数据。生物特征识别数据的其他实例包括数字摄影数据(例如，脸部识别数据)、脱氧核糖核酸(dna)数据、掌纹数据、手部几何形状数据和虹膜识别数据。

“生物特征识别模板”可以是已经从由用户提供的生物特征识别样本中提取的不同特性的数字参考。生物特征识别模板可以从生物特征识别数据中导出。在生物特征识别认证过程中使用生物特征识别模板。可以将来自由用户在认证时提供的生物特征识别样本的数据与生物特征识别模板进行比较，以确定所提供的生物特征识别样本是否与生物特征识别模板紧密匹配。在一些实施方案中，“大生物特征识别模板”可以指最初从生物特征识别数据中导出的生物特征识别模板，而“小生物特征识别模板”可以是指大的生物特征识别模板的不完整的或至少部分模糊的副本。在一些实施方案中，“生物特征识别模板”可以包括小生物特征识别模板、大生物特征识别模板或者小生物特征识别模板和大生物特征识别模板的组合。

“资源提供实体”可以是在交易期间提供资源的任何实体。例如，资源提供实体可以是商家、场所运营商、建筑物所有者、政府实体等等。

“用户标识信息”可以是与用户相关联并且可以标识用户的任何信息。用户标识信息可以包括但不限于主账号(pan)、电话、电子邮件地址、邮政编码、邮寄地址、照片标识，个人标识号码(pin)等等。

i.无线生物特征识别认证系统

图1、2和3示出了说明用于进行无线生物特征识别认证的一个或多个系统的各个方面的图。具体而言，每个系统都可以位于资源提供商位置，并且可以包括位于资源提供商位置处与资源提供商进行交易的一个或多个用户，其中每个用户都可以拥有移动装置。

a.发射站

图1描绘了用于检测资源提供商位置处的移动装置的系统100。系统100包括发射站102、移动装置104和外部服务106。在图1中描绘的步骤描述了移动装置在与访问装置交互之前(例如在结账之前)如何与资源提供商位置处的发射站进行交互。

移动装置104可以是当用户位于资源提供商位置时由用户携带的移动装置。例如，用户可以是在实体店(即，资源提供商位置)处购物的具有智能手机(即，移动装置)的顾客。

发射站102可以是与资源提供商位置相关联的固定装置。当移动装置由其各自的用户携带到资源提供商位置时，发射站102可以检测移动装置并与其进行通信。通信可以使用中短距离无线通信机制来执行。例如，发射站102可以是蓝牙低能耗(ble)信标，该信标在顾客进入商店时经由ble检测顾客的智能手机的存在并且将包括发射站标识符(即，信标id)的信标发送给该智能手机。

尽管该实例描述了ble通信机制，但是应该理解，本发明的实施方案可以利用任何合适的无线通信机制。这种通信机制的实例可以包括使用合适的电、电磁或甚至声学通信模式。例如，本发明的实施方案可以使用rf、ir或者甚至音频信号来以无线方式来往于两个装置发送数据。优选的通信机制包括短到中距离无线通信机制。通信机制的实例可以包括wi-fi、ble、经典蓝牙等。

在一些实施方案中，ble技术被用作短距离通信协议或技术。蓝牙低功耗是用于在短距离上传输数据的无线个体局域网技术。它被设计用于低能耗和低成本，同时维持与经典蓝牙类似的通信范围。ble通信主要由“广告”或小数据包组成，所述广告或小数据包经由无线电波通过信标(可能存在于基站中或可能是基站)或其他支持ble的装置以规律的间隔进行广播。

可以实现为基于云的系统或者实现为服务器计算机系统的外部服务106可以相对于资源提供商位置远程定位。移动装置104可以使用外部服务106作为将发射站标识符转换为资源提供商位置的标识(即，资源提供商位置标识符)的可信服务(其可以是商家或支付处理器驱动器)。移动装置104和外部服务106之间的通信可以使用任何合适的通信网络来执行。合适的通信网络可以是下列中的任一个和/或组合：直接互连、互联网、局域网(lan)、城域网(man)、作为互联网节点的运行任务(omni)、网状网络、安全定制连接、广域网(wan)、无线网络(例如，使用诸如但不限于无线应用协议(wap)、i-模式等的协议)等等。通信可以使用安全通信协议来执行，诸如，传输层安全协议、安全套接字层协议或其他合适的安全通信协议。

如图1所示，移动装置104可以在用户进入资源提供商位置时由用户携带。此时，移动装置可以拥有从用户的生物特征识别样本生成的生物特征识别模板。例如，移动装置104上可以安装智能手机应用程序，该智能手机应用程序引导用户完成生成生物特征识别模板的过程，其中移动装置拍摄用户的脸部的照片并且基于该照片生成生物特征识别模板。然后，可以将生物特征识别模板存储在移动装置中。

尽管此实例描述了使用脸部图像作为生物特征识别样本，但可以使用的其他生物特征识别样本可以包括声音样本、指纹样本、dna样本、头发样本、视网膜扫描样本等。

在步骤s101处，发射站102检测被携带到资源提供商位置中的移动装置104。例如，当客户进入商店时可检测到客户的智能手机。在感测到移动装置104时，发射站102可以向该移动装置发送信标，其中该信标包括唯一地标识发射站的发射站标识符(例如，信标id)。可以由安装在移动装置104上的应用程序从信标中提取发射站标识符。

在同一步骤中，移动装置104和发射站102可以交换地址信息(例如，ip地址、mac地址)，使得发射站102和移动装置104可以相互识别，以便进行随后的通信。

在步骤s102处，移动装置104与外部服务106进行通信，以基于接收到的发射站标识符来标识资源提供商。具体而言，安装在移动装置104上的应用程序可以将发射站标识符发送给外部服务106。如果有地理位置信息可用(例如，移动装置104开启了地理位置并且用户已经同意共享该地理位置信息)，则应用程序可以将地理位置信息发送给外部服务106，这将使外部服务能够捕获欺骗发射站标识符的企图。

在步骤s103处，外部服务106用适当的资源提供商位置标识符来响应移动装置104。在接收到发射站标识符后，外部服务106可以将发射站标识符解析为资源提供商位置标识符。在一些情况下，这可涉及将发射站标识符解析为商家标识符和商店标识符。在一些实施方案中，商家标识符和商店标识符可分别被称为“售卡方id”(caid)和“售卡方名称”(can)。可以使用任何这样的标识符，只要它们唯一地标识资源提供商位置即可。一旦确定了资源提供商位置标识符，就可以将标识符传回到移动装置104。

在步骤s104处，移动装置104将包括若干条信息的消息发送给发射站102。该信息可以包括在移动装置位于资源提供商位置时标识移动装置104的临时移动装置标识符dev_id。在一些情况下，移动装置id可以是每当移动装置被携带到资源提供商位置时生成的大随机数(例如，8个字节)。具体而言，进入资源提供商位置的每个移动装置都可以提供在访问期间唯一地标识移动装置的移动装置id。资源提供商可以使用这些移动装置id来标识每个移动装置并且保持与每个移动装置的一致的通信，而不会在多个移动装置位于资源提供商位置时在一次交互与下一次交互之间将它们混淆。

该信息可以包括资源提供商位置标识符(例如，caid和can)。该信息可以包括用户希望此时在商店中被知道的顾客标识符cust_id。user_id可为永久性的，或者仅用于对资源提供商位置的当前访问。该信息可以包括随机数n，其是由移动装置104生成的特定大小(例如，128位)的随机数。

在使用公钥加密安全地传送生物特征识别模板的实施方案中，信息可以包括与移动装置104相关联的公钥证书pkcert，其中证书由证书机构(ca)签名。在这样的实施方案中，资源提供商(即，访问装置)将拥有(或者有权访问)ca的公钥，使得资源提供商将能够验证移动装置104的公钥证书。消息可以使用移动装置104的私钥进行签名。因此，在这样的实施方案中，由移动装置104发送给发射站102的实例消息可以包括以下内容：

签名pv{dev_id,cust_id,n,caid,can},pkcert

从上面的公式中可以看出，实例消息包括公钥证书pkcert、客户标识符cust_id、装置标识符dev_id、资源提供商位置标识符caid和can、随机数n以及dev_id、cust_id、n、caid和can的签名。下面参考图4更详细地讨论使用公钥加密来安全地传送生物特征识别模板。

在使用基于模糊提取器的加密来安全地传送生物特征识别模板的实施方案中，信息可以包括从存储在手机上的生物特征识别模板生成的公共值。下面参考图5-9更详细地讨论使用基于模糊提取器的加密来安全地传送生物特征识别模板。

在步骤s104之后，移动装置104可以存储包含资源提供商位置标识符和地理位置信息的状态信息，该信息告知移动装置正在访问哪个资源提供商位置。因此，安装在移动装置104上的应用程序可以被设计为使得仅涉及资源提供商位置标识符的交易可以被服务。

在从移动装置104接收到消息时，发射站102可以使得包含关于移动装置在资源提供商位置处的存在的信息的状态条目被创建。因此，资源提供商可以为被携带到资源提供商位置的每个移动装置维护状态条目(例如，在数据库中)。例如，每个状态条目都可以包括与资源提供商位置处的特定移动装置相关联的参数dev_id、cust_id、n和pkcert。

当移动装置104靠近访问装置来执行交易时，与该移动装置相关联的状态条目可以提供用于完成交易的信息。

b.访问装置

图2描绘了根据一些实施方案的用于使用无线生物特征识别认证进行交易的系统200。具体而言，图2示出了排队与访问装置210进行交易的用户202、204、206和208。用户202、204、206和208分别携带移动装置104、220、222和224。因此，图2所示的全部移动装置都在访问装置210附近范围内。应该注意的是，尽管图2仅描绘了移动装置104、220、222和224，但是可以存在被认为在资源提供商位置处但不在访问装置210附近范围内的另外的移动装置。

如图2所示，当用户202准备好与访问装置210进行交易时，用户202可以站在访问装置的前面，而移动装置104保持在其口袋中。访问装置210捕获用户202的脸部的图像，并且基于该图像生成生物特征识别模板。此时，访问装置210可获知其应该与用户202拥有的移动装置进行交易。然而，访问装置210可能不一定知道移动装置104、220、222和224中的哪一个是用户202所携带的移动装置。因此，访问装置210可以使用生物特征识别模板来标识正确的移动装置以完成交易。

具体而言，访问装置210可以将其生物特征识别模板广播到所有附近的移动装置，以试图确定哪个移动装置拥有与访问装置的生物特征识别模板相匹配的生物特征识别模板。应该注意的是，在一些实施方案中，第一生物特征识别模板不必与第二生物特征识别模板相同以便“匹配”模板。就用于这些实施方案的目的而言，只要第一生物特征识别模板足够接近第二生物特征识别模板(例如，第一生物特征识别模板拥有相似数量的特征和/或拥有与第二生物特征识别模板的特征足够相似的特征)，第一生物特征识别模板就可被认为是匹配第二生物特征识别模板。在一些实施方案中，“匹配”可以由阈值匹配分数来定义。例如，第一生物特征识别模板可以对应于由移动装置104拍摄的用户202的脸部照片，而第二生物特征识别模板可以对应于由访问装置210拍摄的用户202的脸部照片，其中可以使用第一张照片和第二张照片中显示的脸部之间的相似度来确定第一生物特征识别模板和第二生物特征识别模板之间的匹配。

当移动装置确定其存储的生物特征识别模板与在广播中接收到的生物特征识别模板之间的匹配时，移动装置可以将匹配的确认发送回访问装置210。在接收到确认时，访问装置210可以与发送确认的移动装置进行交易。因此，通过使用生物特征识别认证，第一移动装置的用户能够执行安全的无线交易，而不必手动操纵第一移动装置或便携式交易装置(例如，信用卡)。

然而，应该指出的是，不能以明文形式广播生物特征识别模板，因为这样做可危及交易安全并引起隐私泄露问题。毕竟，可以认为用户不希望他们的脸部图像或其他生物特征识别信息被公开广播。因此，本发明的实施方案可以在广播之前对生物特征识别模板进行加密。用于对生物特征识别模板进行加密的两种主要技术可以包括使用公钥加密的第一种技术，在下文中参考图4对其进行描述，以及使用模糊提取器的概念的第二种技术，在下文中参考图5-9对其进行描述。

图3描绘了根据一些实施方案的用于使用无线生物特征识别认证进行交易的另一个示例性系统300。具体而言，图3示出了发射站102、移动装置104、外部服务106和访问装置210。

访问装置210和发射站102可以解耦合或耦合在一起。在一些实施方案中，访问装置210和发射站102可以通过同一装置来体现。在其他实施方案中，访问装置210和发射站102可以通过经由网络(例如，局域网)彼此进行通信的不同装置来体现。

在图3中，步骤s301、s302、s303和s304可分别对应于图1中的步骤s101、s102、s103和s104。对这些步骤的描述在此并入，不需要重复。

当用户准备结账并站在访问装置210的前面时，访问装置210可以捕获用户的脸部图片，并从该图像生成生物特征识别模板。应注意，在本发明的其他实施方案中，可以捕获其他类型的生物特征识别样本。访问装置210也可以对用户脸部图像进行加密。

在步骤s305处，访问装置210可以将其加密的生物特征识别模板广播到所有附近的移动装置，包括移动装置104。一旦接收到广播，移动装置104就可以尝试对经加密的生物特征识别模板进行解密。如果解密尝试成功，则移动装置104就可以确定其存储的生物特征识别模板是否匹配所接收的生物特征识别模板。

在步骤s306处，在确定生物特征识别模板匹配时，访问装置210将匹配的确认发送回访问装置210。在接收到确认之后，访问装置210可以与代表用户202的移动装置104进行交易。在交易完成之后，用户202可以离开，而下一个排队的用户204可以站在访问装置210的前面以拍摄他的照片，这为后续交易再次重启移动装置标识过程。

ii.采用公钥密码技术的无线生物特征识别认证

图4示出了说明使用公钥加密的无线生物特征识别认证过程的流程图。无线生物特征识别认证过程可以由访问装置、移动装置、发射站和/或外部服务来执行，如上面在图1-3中所描述的。

在步骤402处，第一移动装置根据从携带第一移动装置的第一用户获得的第一生物特征识别样本来生成第一生物特征识别模板。例如，第一移动装置可以对应于图1中的移动装置104，并且第一用户可以对应于图2中的用户202。当应用程序首次安装到移动装置104上时，应用程序可以使移动装置拍摄用户202的脸部照片。然后，应用程序可以从照片生成生物特征识别模板，并将生物特征识别模板存储在移动装置104内。

在步骤404处，第一移动装置将第一公钥发送给资源提供商位置处的发射站。例如，发射站可以对应于图1中的发射站102。如上文参考图1所解释的，当用户202携带移动装置104到资源提供商位置时，发射站102可以在检测到移动装置时向移动装置104发送包括发射站标识符的信标。在接收到信标之后，移动装置104可以与外部服务106进行通信，以将发射站标识符解析为资源位置标识符。然后，移动装置104可以向发射站102发送消息，其中该消息包括移动装置的公钥证书。

在步骤406处，发射站从包括第一移动装置的多个移动装置接收包括第一公钥的公钥，并进行存储。具体而言，在接收到在步骤404中发送的第一公钥时，发射站可以创建对应于第一移动装置并且包含第一公钥的第一状态条目。另外，如果发射站从位于资源提供商位置处的其他移动装置接收公钥，则发射站可以创建另外的状态条目，每个条目都存储其他移动装置之一的公钥。这些状态条目可以被提供给资源提供商位置处的访问装置。

在步骤408处，访问装置根据从第一用户获得的第二生物特征识别样本来生成第二生物特征识别模板。例如，访问装置可以对应于图2中的访问装置210。如上文参考图2-3所解释的，当用户202站在访问装置210的前面与访问装置进行交易时，访问装置210可以拍摄用户脸部的照片。然后，访问装置210可以从照片生成用户202的另一生物特征识别模板。

在步骤410-416期间，第二生物特征识别模板可以被多次广播到所有附近的装置。为了保护交易和用户的隐私，访问装置可以每次在广播第二生物特征识别模板之前使用与附近的移动装置中的一个相关联的公钥来对第二生物特征识别模板进行加密。当第二生物特征识别模板用移动装置的公钥加密时，只有该移动装置可以使用其私钥来对广播进行解密，并且所有其他附近的移动装置将无法解密同一广播。为了确保每个附近的装置都机会解密经加密的第二生物特征识别模板，访问装置可以每次使用不同的公钥反复对第二生物特征识别模板进行加密和广播，直到(i)访问装置从附近的移动装置之一接收到匹配的确认或者(ii)每个附近的移动装置的公钥都已经被至少使用了一次。因此，第二生物特征识别模板被广播的次数可以与附近的移动装置的数量一样多。

在进行广播之前，访问装置可以标识哪些移动装置在附近。例如，访问装置210可以使用ble(可以调整其功率)和/或网格技术来确定移动装置104、220、222和224中的每一个与访问装置足够接近，以使其可以是由用户202携带的移动装置。在确定四个移动装置在附近时，访问装置210可以广播第二生物特征识别模板最多四次。对于第一次广播、第二次广播、第三次广播和第四次广播，访问装置210可以分别使用移动装置104的公钥、移动装置220的公钥、移动装置222的公钥以及移动装置224的公钥来对第二生物特征识别模板进行加密。在进行广播之后，访问装置可以等待附近的移动装置中的一个作出响应，确认第二生物特征识别模板与移动装置的存储的生物特征识别模板之间的匹配。

在步骤410处，访问装置检索下一移动装置的公钥。具体而言，访问装置可以响应于检测到移动装置而从先前创建的状态条目中获得该移动装置的公钥。

在步骤412处，访问装置使用公钥对第二生物特征识别模板进行加密。具体而言，访问装置可以生成包括以下内容的消息：

加密pk{模板,金额,caid,can,n,m,sk(n,m)}.

从上面的公式可以看出，该消息可以包括使用在步骤410中检索到的公钥加密的值的组合。这些值可以包括：模板，表示生物特征识别模板；金额，表示交易中涉及的购物金额；资源提供商位置标识符(即，caid和can)，n，表示从与公钥相关联的移动装置接收到的随机数；m，表示由资源提供商生成的对于每个装置和交易唯一的另一新鲜随机数；以及“sk(n，m)”，表示秘密会话钥，移动装置可以用该秘密会话钥来加密发回给访问装置的匹配的确认，其中秘密会话密钥对于每个装置和交易是唯一的。

在步骤414处，访问装置将经加密的第二生物特征识别模板广播到包括第一移动装置的所有附近的移动装置。例如，访问装置210可以生成包括上面在412中描述的公式的消息，并将该消息广播到移动装置104、220、222和224。

在判断416处，访问装置确定是否有更多附近的其公钥尚未用于加密第二生物特征识别模板的移动装置。如果是，则过程返回到步骤410，在该步骤处，访问装置检索另一移动装置的公钥，以准备进行第二生物特征识别模板的后续广播。否则，过程行进到步骤418。

在步骤418处，访问装置等待附近的移动装置中的一个移动装置发送第二生物特征识别模板与存储在移动装置中的生物特征识别模板之间匹配的确认。

应该注意的是，在附近的移动装置(包括第一移动装置)接收到广播的消息之后，每个移动装置都可以尝试使用它们各自的私钥来对消息进行解密。无论哪个移动装置成功解密消息，都可以确定移动装置的存储生物特征识别模板是否与第二生物特征识别模板相匹配。如果确定匹配，则移动装置可以断定，其用户正在与访问装置进行交易。因此，移动装置可以利用匹配的确认来响应访问装置。

在步骤420处，第一移动装置接收由访问装置广播的经加密的第二生物特征识别模板。具体而言，第一移动装置可以接收包括上文在步骤412中描述的公式的消息。

在判断422处，第一移动装置确定其私钥是否可以用于对第二生物特征识别模板进行解密。具体而言，第一移动装置可以尝试解密消息的内容，以获得第二生物特征识别模板、购买金额、资源提供商位置标识符、随机数n、随机数m，以及秘密会话密钥。如果解密尝试失败，则第一移动装置忽略该消息并等待下一次广播。如果解密尝试成功，则过程行进到判断424。

在判断424处，第一移动装置作出关于第一生物特征识别模板是否匹配第二生物特征识别模板的判断。在一些实施方案中，在进行判断之前，第一移动装置检查随机数n是否与先前发送给资源提供商的随机数匹配。如果是，则第一移动装置也可以检查资源提供商位置标识符是否匹配预期位置标识符。如果是，则第一移动装置可以确定第一生物特征识别模板是否匹配第二生物特征识别模板。如果发现匹配，则第一移动装置可以断定其拥有者正在与访问装置进行交易。如果n不正确，则资源提供商位置标识符具有非预期值，或者生物特征识别模板不匹配，则第一移动装置忽略该消息。

在步骤426处，第一移动装置向访问装置发送匹配的确认。例如，在确定其存储的生物特征识别模板与第二生物特征识别模板之间的匹配之后，移动装置104可以准备包括以下内容的支付消息：

加密sk(n,m){signpv(n,m,caid,can,pan,到期日期,金额)}

从上面的公式可以看出，该消息可以包括使用在步骤412中描述的秘密会话钥加密的值的组合。这些值可以包括：金额，其为在交易中涉及的购物金额；资源提供商位置标识符(即，caid和can)；n和m，其为在步骤412中描述的随机数；pan(例如，pan的最后四位)，其为标识用户202的支付账户的主账户；以及到期日期，其为与支付账户相关联的到期日期。另外，还可以在用秘密会话钥加密之前，利用移动装置的私钥对该组合进行签名(signpv)。移动装置104可以以非接触式交易向访问装置210发送支付消息。

在步骤428处，访问装置进行交易或以其他方式授权第一用户访问所请求的资源。例如，访问装置210在接收到在步骤426中由移动装置104发送的支付消息时，可以使用移动装置104的公钥来验证签名。访问装置210也可以验证n和m是否一致。然后，访问装置210可以向用户202显示他的顾客标识符cust_id，并提示用户接受费用。这里，用户202可以按压由访问装置210提供的按钮，这导致资源提供商向与用户202的支付账户相关联的支付处理网络提交授权请求消息。在一些实施方案中，当接收到授权批准时，可以将收据无线传送给移动装置104(例如，经由sms)。

应该注意的是，在步骤414和426中在访问装置和第一移动装置之间发送的消息中包括随机数m可以防止中间人(mitm)攻击，因为访问装置将验证用于签名的签名密钥与用于加密在步骤414中发送的消息中的m的公钥一致。

iii.使用模糊提取器的无线生物特征识别认证

为了解决将用户的生物特征识别模板广播到附近的移动装置的问题，本发明的某些实施方案可以利用模糊提取器的概念。使用图2所示的系统，尽管访问装置210每次在广播模板时都可以用公钥对第二生物特征识别模板进行加密，但是每个移动装置104、220、222和224都可能将第二生物特征识别模板解密至少一次。因此，每个不由用户202携带的移动装置220、222和224都可能试图解密从用户202的脸部生成的生物特征识别模板。尽管被加密，但另一个用户在未经用户202同意的情况下可能会获得用户202的生物特征识别样本。无论是加密还是未加密的生物特征识别样本如果都不转移到其他用户的移动装置上将使最佳的情况。

因此，为了限制能够解密第二生物特征识别模板的移动装置的数量，访问装置可以利用基于模糊提取器的概念的加密。现在将描述模糊提取器的概念。在高级别，模糊提取器可对应于用于从生物特征识别模板生成密码密钥的机制，其方式是如果该机制从第一生物特征识别模板生成特定密码密钥，则该机制将从第二生物特征识别模板生成相同的密码密钥，只要第二生物特征识别模板与第一生物特征识别模板匹配(即，不一定完全相同，但足够接近)。模糊提取器的功能定义如下。

模糊提取器包括两个功能：第一模糊提取器功能g和第二模糊提取器功能r。g取生物特征识别模板w_d，并将其映射到一对值(r_d，s_d)，其中r_d是秘密密码密钥，而s_d是从与w_d匹配的任何生物特征识别模板w_d’重新创建r_d所需的公共值。r取w_d'和s_d，并将它们映射到秘密密码密钥r_d'，其中如果w_d’匹配w，则r_d’等于r_d。换句话说，模糊提取器功能g用于从第一生物特征识别模板生成秘密密码密钥和公钥值，而第二模糊提取器功能r可以从相同的公共值和第二生物特征识别模板重新生成相同的秘密密码密钥，只要第一生物特征识别模板和第二生物特征识别模板匹配即可。关于模糊提取器的其他细节可见于yegeniydodis等人的标题为“fuzzyextractors；howtogeneratestrongkeysfrombiometricsandothernoisydata”(siamjournaloncomputing，38(1)：97-139，2008)的文章。出于所有目的，该参考文献通过引用整体并入本文中。

图5示出了说明如何使用第一模糊提取器功能g的图。如图5所示，移动装置可以从其用户获得第一生物特征识别样本。然后，移动装置可以基于第一生物特征识别样本来生成第一生物特征识别模板w_d。然后，移动装置将w_d馈送给g，g将w_d映射到秘密密码密钥r_d和公共值s_d。s_d然后可以发送给访问装置。

图6示出了说明如何使用第二模糊提取器功能r的图。如图6所示，访问装置可以从移动装置获得s_d，并从移动装置的用户获得第二生物特征识别样本。然后，访问装置可以基于第二生物特征识别样本来生成第二生物特征识别模板w_d'。然后，访问装置将w_d'和s_d馈送给r，r将其映射到秘密密码密钥r_d'。这里，如果w_d’与w_d匹配，则r_d’将等于r_d。因此，移动装置和访问装置能够独立地从相同的公共值和匹配的生物特征识别模板生成相同的秘密密码密钥。因此，访问装置可以使用r_d'来加密其向移动装置和其他附近的移动装置广播的消息。

除了保护访问装置和移动装置之间的通信之外，还可以使用r_d'来确定w_d是否与w_d’匹配。换句话说，由于两个装置只有在它们的生物特征识别模板匹配时才能够生成相同的秘密密码密钥，因此任何移动装置都可以根据对广播消息的成功解密推断：(i)移动装置和访问装置已经生成相同的密码密钥，以及(ii)移动装置的生物特征识别模板与访问装置的生物特征识别模板相匹配。这可以提供使用户的生物特征识别模板在交易期间对其他附近用户的移动装置保密的优点。

可对这种使用模糊提取器概念加密生物特征识别模板的技术进行进一步开发以解决访问装置本身不完全可信的情况。例如，用户可能遇到恶意终端(例如假冒终端、被盗终端或被黑客入侵的终端)。此外，在一些实施方案中，恶意访问装置可能会潜在地根据由终端生成的匹配生物特征识别模板和从移动装置提供给访问装置的公共值来重建由用户的移动装置存储的生物特征识别模板，这会带来隐私泄露问题。因此，在于用户的移动装置上生成的生物特征识别模板特别详细(例如，生物特征识别模板是从用户的脸部的特别高质量的照片导出的)的情况下，用户可能不倾向于将其完整的生物特征识别模板授信给访问装置。

出于上述原因，一些实施方案可以使用大生物特征识别模板和小生物特征识别模板。图7示出了说明在利用大生物特征识别模板和小生物特征识别模板的实施方案中如何使用第一模糊提取功能g的图。如图7所示，移动装置可以从其用户获得第一生物特征识别样本。然后，移动装置可以基于第一生物特征识别样本来生成第一大生物特征识别模板w_d。然后，移动装置可以通过模糊w_d或者删除w_d的部分来从w_d生成第一小生物特征识别模板w_d。然后，移动装置将w_d馈送给g，g将w_d映射到秘密密码密钥r_d和公共值s_d。s_d然后可发送给访问装置。如果访问装置被证明是恶意的，则访问装置可能会使用s_d和与w_d匹配的生物特征识别模板w_d'来重新生成w_d。然而，由于w_d质量差，移动装置的用户可能不会介意w_d被泄露。

图8示出了说明如何在利用大生物特征识别模板和小生物特征识别模板的实施方案中使用第二模糊提取器功能r的图。如图8所示，访问装置可以从移动装置获得s_d，并从移动装置的用户获得第二生物特征识别样本。然后，访问装置可以基于第二生物特征识别样本来生成第二大生物特征识别模板w_d’。然后，访问装置可以类似于从w_d生成w_d的方式来生成第二小生物特征识别模板w_d’。然后，访问装置将w_d’和s_d馈送给r，r将其映射到秘密密码密钥r_d’。这里，如果w_d匹配w_d’，那么w_d’将匹配w_d。如果w_d匹配w_d’，则r_d’将等于r_d。再一次，移动装置和访问装置能够独立地从相同的公共值和匹配的生物特征识别模板生成相同的秘密密码密钥。因此，访问装置可以使用r_d’来加密其向移动装置和其他附近的移动装置广播的消息。

图9示出了说明使用模糊提取器的概念的无线生物特征识别认证过程的流程图。无线生物特征识别认证过程可以由访问装置、移动装置、发射站和/或外部服务来执行，如上面在图1-3中所描述的。

在步骤902处，第一移动装置根据从携带第一移动装置的第一用户获得的第一生物特征识别样本来生成第一大生物特征识别模板w_d和第一小生物特征识别模板w_d。例如，第一移动装置可以对应于图1中的移动装置104，并且第一用户可以对应于图2中的用户202。

在步骤904处，第一移动装置将w_d馈送到第一提取器功能g，以获得第一秘密密码密钥和第一公共值。

在步骤906处，第一移动装置将其公共值发送给资源提供商位置处的发射站。例如，发射站可以对应于图1中的发射站102。如上文参考图1所解释的，移动装置104可以向发射站102发送消息，其中该消息包括由移动装置104生成的公共值。

在步骤908处，发射站从包括第一移动装置的多个移动装置接收包括第一公共值的公共值，并进行存储。具体而言，在接收到在步骤906中发送的第一公共值之后，发射站可以创建对应于第一移动装置并且包含第一公共值的第一状态条目。另外，如果发射站接收到位于资源提供商位置处的其他移动装置的公共值，则发射站可以创建另外的状态条目，每个条目都存储其他移动装置之一的公共值。这些状态条目可以被提供给资源提供商位置处的访问装置。

在步骤910处，访问装置根据从第一用户获得的第二生物特征识别样本来生成第二大生物特征识别模板w_d’和第二小生物特征识别模板w_d’。例如，访问装置可以对应于图2中的访问装置210。

在步骤912处，访问装置检索下一移动装置的公共值。具体而言，访问装置可以响应于检测到移动装置而从先前创建的状态条目中获得该移动装置的公共值。

在步骤914处，访问装置将w_d'和公共值馈送给第二提取器功能r，以获得对应于下一个移动装置的秘密密码密钥r_d'。

在步骤916处，访问装置使用r_d'来加密w_d'。具体而言，访问装置可以生成包括以下内容的消息：

加密r_d’{w_d’}.

从上面的公式可以看出，该消息可包括使用r_d'加密的w_d'。虽然没有被反映在上面的公式中，但该消息还可能包括也使用r_d'加密的另外的值(例如，资源提供商位置标识符、随机数等)。

在步骤918处，访问装置将消息广播到所有附近的移动装置。例如，访问装置210可以生成包括上面在916中描述的公式的消息，并将该消息广播到移动装置104、220、222和224。

在判断920处，访问装置确定是否有更多附近的其公共值尚未用于生成秘密密码密钥的移动装置。如果是，则过程返回到步骤912，在该步骤处，访问装置检索另一移动装置的公共值，以准备进行第二生物特征识别模板的后续广播。否则，过程行进到步骤922。

在步骤922处，访问装置等待附近的移动装置中的一个移动装置发送第二生物特征识别模板与存储在移动装置中的生物特征识别模板之间匹配的确认。

应该注意的是，在附近的移动装置(包括第一移动装置)接收到广播的消息之后，每个移动装置都尝试用它们各自的秘密密码密钥来对消息进行解密。无论哪个移动装置成功解密消息，都可以认为其小生物特征识别模板(例如，在第一移动装置的情况下是w_d)匹配w_d’，并且由此推断较高的可能性是其大生物特征识别模板(例如，在第一移动装置的情况下是匹配w_d)匹配w_d’。因此，移动装置可以继续确定其大生物特征识别模板是否匹配w_d'。如果确定匹配，则移动装置可以断定，其用户正在与访问装置进行交易。因此，移动装置可以利用匹配的确认来响应访问装置。

在步骤924处，第一移动装置接收经加密的w_d'。具体而言，第一移动装置可以接收包括上文在步骤916中描述的公式的消息。

在判断926处，第一移动装置确定第一密码密钥是否可以用来解密经加密的w_d'。如果解密尝试失败(例如，解密尝试仅产生垃圾)，则第一移动装置忽略该消息并等待下一次广播。如果解密尝试成功，则第一移动装置将此作为第一用户可能正在与访问装置进行交易的证据。因此，该过程行进至判断928。

在判断928处，第一移动装置判断w_d是否与w_d'相匹配。如果发现匹配，则第一移动装置可以断定其拥有者正在与访问装置进行交易。如果w_d与w_d’不匹配，则第一移动装置忽略该消息。

在步骤930处，第一移动装置向访问装置发送匹配的确认。该确认可以包括各种附加信息，包括第一用户的pan(例如，pan的最后四位数字)、第一用户的客户标识符和/或认证信息(例如，卡图案)。

在步骤932处，访问装置进行交易或以其他方式授权第一用户访问所请求的资源。例如，在接收到由移动装置104在步骤930中发送的确认时，访问装置210可以向用户202显示由确认提供的信息(例如，pan、客户标识符、卡图案)，该信息使得用户能够确认正确的移动装置被选中。访问装置210也可以提示用户接受费用。

应该注意的是，虽然通常预期，对任何特定交易，只有附近的移动装置中的一个以匹配的确认作出响应，但是可能会出现极端的情况，其中附近的移动装置中没有一个确定匹配或有多个移动装置确定匹配。现在描述可以单独使用或结合使用以解决这种极端情况的各种措施。

在一种措施中，当访问装置从n(其中n＝1、2、3...)个附近的移动装置接收到确认，所有这些装置都确定匹配时，则创建n个虚假条目。然后，访问装置向用户呈现一组按钮，其包括用于每个匹配装置的一个按钮和用于每个虚假条目的一个按钮。与匹配装置相关联的每个按钮都可以具有匹配装置的用户的pan的卡图案、客户标识符、电话号码、到期日期和/或pan的一部分，而与虚假条目相关联的每个按钮都显示虚假信息。然后，提示用户按下与用户相关信息相关联的按钮。

在另一措施中，访问装置可以保存执行交易的用户的照片，以用于解决争议的目的。

在另一措施中，使用户的移动装置保存照片，而非使访问装置保存用户的照片。这里，照片可以以只有资源提供商或支付处理网络上的实体可以解密照片的方式加密。

在另一措施中，移动装置可以将代码传送给访问装置。然后，访问装置可以提示执行交易的用户输入代码。只有当用户输入正确的代码时才进行交易。在一些实施方案中，代码可以是用户已知的一条信息(例如，用户的电话号码的2-4位)。

在另一措施中，访问装置提示用户在访问装置的触摸屏处输入符号、签名或其他图案，然后将其从访问装置传送到用户的移动装置。只有当用户输入的图案与存储在移动装置上的图案匹配时才进行交易。

在一些实施方案中，如果无线生物特征识别认证以某种方式失败，则访问装置可以恢复到经由传统方式(例如，信用卡、现金等)执行交易。

在上述实施方案中，一旦移动装置的存储的生物特征识别模板与由资源提供商获得的另一生物特征识别模板之间匹配，就可以进行任何合适的交易。例如，(i)可以在移动装置和资源提供商的访问装置之间进行非接触nfc交易，(ii)可以进行远程交易，或者(iii)可以执行接触式交易。在一些实施方案中，访问装置可以生成授权请求消息，该授权请求消息经由收单方计算机和支付处理网络而发送给发行方计算机。然后，发行方计算机可以通过批准或拒绝交易的反向路径来返回授权响应。如果交易被批准，则可在收单方计算机、支付处理网络和发行方计算机之间发生清算和结算过程。

尽管以上实例具体讨论了支付交易，但本发明的实施方案不限于支付交易。例如，上述无线生物特征识别认证技术可以被用来访问由任何合适的资源提供实体提供的资源。可以使用根据本发明的实施方案的认证过程来访问的资源的其他实例包括对场所的访问，对信息的访问等。

iv.便携式通信装置

图10示出了根据一些实施方案的便携式通信装置1001的框图。装置1001可以是先前描述的移动装置(例如，104)的实例。便携式通信装置1001可以包括耦合到存储器1002的装置硬件1004。装置硬件1004可以包括处理器1005、通信子系统1008、用户接口1006以及显示器1007(其可以是用户接口1006的一部分)。处理器1005可以被实现为一个或多个集成电路(例如，一个或多个单核或多核微处理器和/或微控制器)，并且被用来控制便携式通信装置1001的操作。处理器1005可以响应于存储在存储器1002中的程序代码或计算机可读代码来执行各种程序，并且可以维护多个同时执行的程序或过程。通信子系统1009可以包括一个或多个rf收发器和/或连接器，所述rf收发器和/或连接器可以由便携式通信装置1001使用以便与其他装置通信和/或与外部网络连接。用户接口1006可以包括输入元件和输出元件的任何组合，以便允许用户与便携式通信装置1001交互并且调用其功能。在一些实施方案中，显示器1007可以是用户接口1006的一部分。

存储器1002可以使用任何数量的非易失性存储器(例如，快闪存储器)和易失性存储器(例如，dram、sram)的任何组合或者任何其他非暂时性存储介质或其组合介质来实现。存储器1002可以存储移动os1014和移动应用程序环境1010，其中驻留有带由处理器1005执行的一个或多个移动应用程序1012(例如，支付应用程序，诸如移动钱包应用程序、商家应用程序、移动位置应用程序等)。另外，存储器1002可以存储可由处理器1005执行的计算机代码，用于执行本文所述的任何功能。

本文中描述的一些实体或部件可以与一个或多个计算机装置相关联或者操作所述计算机装置，以有助于本文所述的功能。本文所述的一些实体或部件，包括任何服务器或数据库，可以使用任何合适数量的子系统来有助于所述功能。

这类子系统或部件的实例可以经由系统总线进行互连。示出了另外的子系统，诸如，打印机、键盘、固定磁盘(或包括计算机可读介质的其他存储器)、耦合到显示器适配器的监视器以及其他子系统。耦合到输入/输出(i/o)控制器(其可以是处理器或任何适当的控制器)的外围装置和i/o装置可以通过本领域已知的任何数量的手段(诸如串行端口)连接到计算机系统。例如，串行端口或外部接口可以用来将计算机装置连接到广域网(诸如，互联网)、鼠标输入装置或扫描器。经由系统总线的互连允许中央处理器能够与每个子系统通信，并控制来自系统存储器或固定磁盘的指令的执行以及信息在子系统之间的交换。系统存储器和/或固定磁盘可以体现计算机可读介质。

本发明的实施方案提供了许多优点。例如，本发明的实施方案可以允许用户执行免提(hands-free)交易，只要用户拥有可以与资源提供商进行无线通信的移动装置即可。具体而言，使用生物特征识别样本自动将用户的图像与其移动装置相关联，使得用户不必手动将用户和用户的移动装置之间的关联提供给资源提供商。此外，本发明的实施方案还可以使得用户能够参与基于生物特征识别的免提交易，同时降低用户生物特征识别样本被泄露的风险。具体而言，使用基于模糊提取器的加密可以保证用户的生物特征识别样本不被暴露给其他附近的移动装置，同时使用大模板和小模板可以降低恶意访问装置窃取用户生物特征识别样本的风险。此外，本发明的实施方案还可以提供完全自动化的无线生物特征识别认证系统，该系统在用户的认证过程期间不需要操作人员作出任何人工输入。

本文描述的计算机、网络和装置之间的消息可以使用诸如但不限于文件传输协议(ftp)、超文本传输协议(http)、安全超文本传输协议(https)、安全套接层(ssl)、iso(例如，iso8583)和/或其他的安全通信协议来传送。

还可以想到本发明的其他实施方案。本发明的其他实施方案可以包括：由移动装置获得用户的第二生物特征识别样本；从所述生物特征识别样本生成第二小生物特征识别模板和第二大生物特征识别模板；通过将所述第二大生物特征识别模板传递给模糊提取器的第一功能来生成第一秘密密码密钥和公共值；将所述公共值传输到访问装置；从所述访问装置接收经加密的第一大生物特征识别模板，所述第一大生物特征识别模板利用通过将所述公开值和第一小生物特征识别模板传递给所述模糊提取器的第二功能而生成的秘密密码密钥加密，其中所述第一小生物特征识别模板从所述访问装置上的第一生物特征识别样本生成；尝试用所述第一秘密密码密钥对所述经加密的第一大生物特征识别模板进行解密；响应于解密所述经加密的第一大生物特征识别模板，确定所述第一大生物特征识别模板是否匹配所述第二大生物特征识别模板；以及响应于确定所述第一大生物特征识别模板与所述第二大生物特征识别模板匹配，向所述访问装置发送所述匹配的确认。

本发明的另一实施方案可涉及一种访问装置，其包括代码，所述代码可由处理器执行以执行上述方法。

本发明的其他实施方案可以包括：由访问装置获得用户的第一生物特征识别样本；从所述第一生物特征识别样本生成第一小生物特征识别模板和第一大生物特征识别模板；对于在所述访问装置附近范围内的多个移动装置中的每个移动装置，所述多个移动装置包括第一移动装置；检索所述移动装置的公共值，其中：所述移动装置的所述公共值是通过将移动装置的小生物特征识别模板传递给模糊提取器的第一功能而生成；并且所述移动装置的所述小生物特征识别模板从所述移动装置的生物特征识别样本生成；通过将所述第一小生物特征识别模板和所述移动装置的所述公共值传递给所述模糊提取器的第二功能来生成秘密密码密钥；用所述秘密密码密钥对所述第一大生物特征识别模板进行加密；以及将经加密的第一大生物特征识别模板广播到所述多个移动装置；

本发明的另一实施方案可涉及一种访问装置，其包括代码，所述代码可由处理器执行以执行上述方法。

从所述第一移动装置接收所述第一大生物特征识别模板与所述第一移动装置的生物特征识别模板之间的匹配的确认，其中所述第一移动装置的所述生物特征识别模板从所述第一移动装置的生物特征识别样本生成；以及响应于所述确认，在所述访问装置与所述第一移动装置之间进行交易。

上文提供了关于上述一些方面的具体细节。在不偏离本发明的实施方案的精神和范围的情况下，具体方面的特定细节可以以任何适当方式组合。例如，尽管上述实施方案涉及认证处理，但是可以使用本发明的实施方案来执行其他类型的处理。例如，由于本发明的实施方案可以验证用户实际上处于具体位置，所以本发明的实施方案也可以用来向用户提供鼓励或奖励。

应当理解，如以上描述的本发明可以用控制逻辑的形式以模块化或集成方式使用计算机软件(存储在有形物理介质中)来实现。基于本文提供的公开内容和教导，本领域普通技术人员将知道并理解使用硬件以及硬件与软件的组合来实施本发明的其他方式和/或方法。

本申请中描述的任何软件部件或功能可以使用例如常规的或面向对象的技术并使用任何合适的计算机语言(诸如例如，java、c++或perl)实现为由处理器执行的软件代码。软件代码可以存储为计算机可读介质(诸如，随机存取存储器(ram)、只读存储器(rom)、磁介质(诸如硬盘或软盘)或光介质(诸如cd-rom))上的一系列指令或命令。任何这样的计算机可读介质可以驻留在单个计算装置上或内部，并且可以存在于系统或网络内的不同计算装置上或内部。

以上描述是示意性的不是限制性的。在本领域技术人员阅读了本公开之后，本发明的许多变体对于他们会变得显而易见。因此，本发明的范围不应该参考上面的描述来确定，而是应该参考待决的权利要求及其完整范围或等同物来确定。

在不偏离本发明的范围的情况下，任何实施方案的一个或多个特征可以与任何其他实施方案的一个或多个特征组合。

除非明确指示有相反的意思，否则“一个”、“一种”或“该/所述”的叙述旨在表示“一个/种或多个/种”。

上文提到的所有专利、专利申请、公开和描述出于所有目的以其全文引用的方式并入本文中。不承认它们为现有技术。